Überprüfen von Berechtigungen mithilfe des Aktivitätsprotokolls
Mit der Berechtigungsprüfung können Systemadministratoren überwachen, für welche Benutzer die Zugriffskontrolle für Tableau-Inhalte geändert wurden. Es gibt zwei Möglichkeiten, die Zugriffskontrolle zu verändern: explizite Änderungen (durch Ändern der Berechtigungen für ein Projekt oder Inhaltselement) und effektive Änderungen (durch Ändern der Site-spezifischen Rollen von Benutzern, Gruppenmitgliedschaften, Verschieben von Inhalten usw.). Alle diese Änderungen werden aufgezeichnet, sodass Administratoren verifizieren können, dass Sicherheits- und Zugriffskontrollen eingehalten werden.
Weitere Informationen dazu, wie Berechtigungsregeln ausgewertet werden, finden Sie unter Effektive Berechtigungen.
Protokollformat
Bei jeder Aktion, durch die der Benutzer- oder Gruppenzugriff auf Inhalte geändert wird, wird ein Protokolleintrag erstellt. Ein Protokolleintrag hat ein JSON-Format, wobei bestimmte Schlüssel unterschiedliche Informationen darstellen. Ein Protokolleintrag besteht aus zwei Teilen:
Metadaten: umfassen Informationen darüber, wann und wo eine Aktion erfolgt ist sowie welcher Benutzer die Aktion ausgeführt hat.
Aktion: enthält Informationen darüber, bei welchem Teil eines Inhalts die Berechtigungen geändert wurden, welche Funktionen geändert wurden und auf welche neuen Werte die Funktionen gesetzt wurden.
Anmerkung: Das Aktivitätsprotokoll zeichnet Änderungen auf, die über die Benutzeroberfläche des Berechtigungsdialogs und die REST-API vorgenommen wurden. Weitere Informationen zu API-Methoden finden Sie unter Berechtigungsmethoden(Link wird in neuem Fenster geöffnet).
Die Aktivitätsprotokolleinträge sind nicht formatiert und die Schlüssel sind in den Protokollen nicht in einer bestimmten Reihenfolge sortiert. Bei der Prüfung von Berechtigungen können Sie Aktivitätsprotokolldaten mit anderen Datenquellen kombinieren
Beispiel
Das Folgende ist ein Beispiel für einen Protokolleintrag, der zeigt, dass eine Gruppe eine Verbindung zu einer Datenquelle herstellen durfte.
{
event: {
actorUserId: 39872
actorUserLuid: “4e6b42bf-9040-4e60-b326-1c56a4fb96f8”
authorizableType: “DATASOURCE”
capabilityId: 32
capabilityValue: “connect”
contentId: 2099835
contentName: “Superstore ExtractNeal3”
eventTime: “2023-01-31T22:44:23.650058Z”
granteeId: 22
granteeLuid: “dae0717a-d524-436d-b469-fadeaa22a5dd”
granteeType: “Group”
granteeValue: “GROUP_ALLOW”
initiatingUserId: 39872
initiatingUserLuid: “4e6b42bf-9040-4e60-b326-1c56a4fb96f8”
isError: false
metadata: {
applicableToOnline: true
applicableToServer: true
comment: “Update Permissions”
customerAccessible: true
eventCategory: “security”
eventType: “update_permissions”
eventVersion: “1.0”
internalAccessible: false
}
permissionType: explicit”
siteLuid: “b45e272d-10c7-49d5-9037-e53ce47dbf4e”
}
traceUuid: “3a108a2f-c0ac-4ac7-a5f8-29zf7e064ae1”
}Der Protokolleintrag erfasst wichtige Informationen zum Ereignis, darunter:
eventTypezeigt, dass ein Berechtigungsaktualisierungs-Ereignis stattgefunden hatpermissionTypezeigt eine explizite Änderung von BerechtigungencontentIdzeigt die ID des geänderten InhaltsauthorizableTypezeigt den Inhaltstyp, in diesem Fall eine DatenquellecapabilityValuezeigt die geänderte FähigkeitgranteeIdzeigt den betroffenen BerechtigungsempfängeractorUserIdzeigt die ID des Benutzers, der die Änderung vorgenommen hateventTimezeigt das Datum und die Uhrzeit der Änderung
Ereignisse
Protokolleinträge beinhalten unterschiedliche Ereignistypen für Berechtigungsänderungen. In der folgenden Tabelle sind alle Ereignistypen und die Fälle aufgeführt, in denen sie aufgezeichnet werden. Weitere Informationen zu Ereignistypen und ihren Attributen finden Sie unter Referenz zu Ereignistypen im Aktivitätsprotokoll.
| Ereignistyp | Beschreibung |
|---|---|
| add_delete_user_to_group | Wird protokolliert, wenn ein Benutzer einer Gruppe hinzugefügt oder daraus entfernt wird |
| content_owner_change | Wird protokolliert, wenn sich der Inhaltseigentümer ändert |
| create_delete_group | Wird protokolliert, wenn eine Gruppe erstellt oder gelöscht wird |
| create_permissions | Wird protokolliert, wenn eine neue explizite Berechtigungsregel erstellt wird |
| delete_all_permissions | Wird protokolliert, wenn alle expliziten Berechtigungsregeln für Inhalte gelöscht werden, normalerweise wenn Inhalte gelöscht werden |
| delete_permissions_grantee | Wird protokolliert, wenn alle expliziten Berechtigungsregeln für einen Benutzer gelöscht werden, normalerweise wenn der Benutzer gelöscht wird |
| delete_permissions | Wird protokolliert, wenn eine explizite Berechtigungsregel für Inhalte gelöscht wird |
| display_sheet_tabs | Wird protokolliert, wenn der Wert "Registerkartenansichten" in einer Arbeitsmappe aktualisiert wird |
| move_content | Wird protokolliert, wenn Inhalte verschoben werden |
| project_lock_unlock | Wird protokolliert, wenn Projektberechtigungen gesperrt oder entsperrt werden |
| update_permissions | Wird protokolliert, wenn eine explizite Berechtigungsregel für ein Inhaltselement aktualisiert wird |
| update_permissions_template | Wird protokolliert, wenn eine Berechtigungsvorlage für ein Projekt aktualisiert wird |
| user_create_delete | Wird protokolliert, wenn ein Benutzer erstellt oder gelöscht wird |